欧盟非个人数据跨境流动监管模式研究*

黄 钰

(中南财经政法大学 武汉 430073)

0 引 言

在“万物互联”的时代，社会各行各业的发展必然伴随数据的产生、存储与流转，数据资源也逐渐成为各国博弈与合作的高地之一。根据数据主体的不同，大体上可将数据分为个人数据与非个人数据。混合数据实质上是由个人与非个人数据组合而成，因此本文不做单独分类。在个人数据跨境流动监管模式已基本成型的背景下，欧盟近年来愈发重视对非个人数据跨境流动的监管问题。相较个人数据而言，由于金融数据、交通数据等诸多非个人数据关涉一国经济命脉与社会公共利益，因此非个人数据对内共享程度越高，便更有利于为科技创新与社会公共福祉的提高创造条件。但也正因如此，非个人数据的出境往往也更易引发对国家主权、社会安全的风险，因此对外跨境流动监管的必要性也更强。因此，与个人数据的跨境流动相比，欧盟非个人数据跨境流动监管模式的“内外有别”特征也更为明显。2022年欧盟通过出台《数据治理法案》、公布《数据法案》草案等措施逐步完善非个人数据跨境流动的监管规则，并力图在非个人数据跨境流动方面继续扩张其域外效力。在我国逐步建立与完善数据跨境流动监管体系的过程中，对欧盟相关措施的分析可对我国监管规则的完善提供反思与借鉴。

1 欧盟“内外有别”监管模式的形成

对于非个人数据跨境流动的监管，欧盟“内外有别”监管模式的形成并非一蹴而就，而是经历了由内及外的发展历程。2022年欧盟出台《数据治理法案》，并公布《数据法案》草案，弥补了非个人数据向欧盟外流动的监管漏洞，逐步构建了“内外有别”监管模式。

1.1 欧盟域内非个人数据流动监管规则的形成

在2020年以前，欧盟对于非个人数据的监管主要聚焦于内部市场的共享与流动。起初，欧盟通过选择其他领域中的已有规则对非个人数据的自由流动进行监管，例如其将非个人数据置于关于保护数据库的第96/9号指令或有关知识产权法中加以监管[1]。

2017年，欧盟陆续发布了《建立欧盟数字经济》《数字单一市场战略中期审查报告》，两份报告均强调了欧盟需在非个人数据跨境流动方面制定相应的专门规则，不仅要实现对非个人数据的有力保护，还需最大程度促进非个人数据的跨境流动[2]。报告发布后，欧盟委员会于2017年9月13日发布《非个人数据自由流通条例》(以下简称《条例》)的提案，历时两年左右，该条例已于2019年5月28日正式实施。作为首次就非个人数据流动监管问题作出统一规定的条例，其基本形成了欧盟内部非个人数据自由流动的制度框架[3]。在具体内容上，《条例》的篇幅不长，以概括性和原则性条款居多，侧重于通过限制各成员国的数据本地化措施，确保成员国有权机关能够及时获取数据，增强数据的可访问性和再利用性，以期达到非个人数据在欧盟内部实现最大程度流动、利用与共享的核心目的。同年，欧盟通过了《开放数据指令》，为消除欧盟范围内公共信息再利用的障碍，促进公共信息的共享，刺激欧盟内部的数字创新能力提供相应支持与保障。

在监管范围上，无论是《条例》还是《开放数据指令》，此时欧盟对非个人数据流动的监管，主要聚焦于欧盟内部，以保障内部数据共享为核心，并未对欧盟内部数据向欧盟域外跨境流动的重要监管问题进行体系化规定，从而埋下了极大的安全隐患。在此种情势下，若非欧盟国向在欧盟处理其数据的云服务提供商提出过度的、不正当的传输或访问请求，或欧盟非个人数据的主动出境，不仅数据持有人的知识产权和商业秘密等重要利益可能会受到损害，甚至欧盟的数据安全也会受到威胁。因此，欧盟在构建内部非个人数据共享体系的同时，有必要关注数据出境安全等跨境监管问题。

1.2 欧盟非个人数据向域外跨境流动监管规则的初露萌芽

2020年2月，欧盟委员会发布《欧洲数据战略》，其目标是使欧盟成为世界最具吸引力、最安全和最具活力的数据敏捷经济体[4]。对于欧盟内部，该战略强调建立真正的欧洲数据空间与单一数据市场，消除数据共享的障碍，从而造福于欧盟在公共事业、科研等领域的发展与创新。对于数据向欧盟外的流动，该战略尤其强调数据安全与欧盟模式的推广。但对于数据向欧盟外部的跨境流动问题，该战略尤其强调对外加强欧盟全球竞争力和维护数据主权的重要性。在域外对欧盟数据进行访问时，欧盟必须保证所涉域外行为符合欧盟基本价值观与立法框架。即使进行国际合作，欧盟也仅与欧盟具有相同标准和价值观的国家进行跨境合作[4]。可以看出，对于域外访问与数据出境，该战略不仅特别注重保护欧洲主体的权利，且尤其强调以欧盟价值观来维护欧盟数据安全，显示出欧盟在数据信息方面企图引领世界，推广欧洲模式与欧盟价值观的极大野心。

可以说，2020年《欧洲数据战略》的发布奠定了之后欧盟近两年数据立法的基调，欧盟已意识到在全球数据流动的国际环境下，在各国争夺数据主权的国际形势下，有必要建立并完善非个人数据向欧盟境外跨境流动的监管与保障措施。在《欧洲数据战略》的战略背景下，欧盟通过GDPR所设置的充分性决定以及约束性公司规则等方法，欧盟个人数据向欧盟域外的跨境流动已基本具有体系化的安全保障。但对于非个人数据，当时欧盟的现有机制仅可为欧盟境内的数据共享提供支持，并不能在非个人数据进行国际跨境流动时，实现对成员国国家主权、数据安全以及数据权益的有力保障。

1.3 欧盟“内外有别”监管模式的形成与完善

2022年为落实《欧洲数据战略》，欧盟在上半年推进了两项尤其关注非个人数据跨境流动的重要立法举措，即《数据治理法案》的批准与《数据法案》提案的公布。《数据治理法案》与《数据法案》根植于对“数据”的广泛定义，确立了包括非个人数据在内的系列数据发展战略。两个法案不仅为欧盟非个人数据的内部流动搭建监管法律框架，而且弥补了非个人数据向欧盟域外流动的监管漏洞，从而使得欧盟非个人数跨境流动监管规则逐渐走向体系化的发展路径。

对于欧盟境内非个人数据的流动，两个法案均强调促进欧盟内部的数据共享，致力于增强公民对数据共享的信任度。为实现这一目标，《数据治理法案》提出了“数据利他主义”(data altruism)的概念，即在数据主体同意处理与其相关的个人数据的基础上自愿、无偿地共享数据，或数据持有人允许他人或组织无偿使用其非个人数据，从而促进医疗保健、气候变化等领域的数据共享，实现改善公共服务水平、服务公共决策或科研，促进公共利益的目的[5]。尤其对于如商业机密数据、知识产权数据等非个人数据，为促进私人与社会组织乃至公共机构充分利用上述数据进行研究与创新，《数据治理法案》以专章对数据的再利用问题进行详细规定。

但对于数据向欧盟外的跨境流动监管，《数据治理法案》与《数据法案》均引入了类似GDPR的监管规则，填补了欧盟数据跨境流动监管制度的版图空缺。正如《数据法案》的解释性备忘录所提到，欧盟之所以再次对数据的跨境传输，尤其是非个人数据的跨境传输强化安全保障措施，正是出于对非欧盟、欧洲经济区(EEA)政府非法获取数据的担忧。实际上，在欧盟委员会公布草案之前，欧盟就已开始了为期3个月的公共线上调研工作。其调查显示，对于国际背景下对非个人数据的保护，76%的受访者认为外国当局根据外国法律对数据的潜在访问对其组织构成风险，19%的受访者更认为向非欧盟国家传输数据是一个重大风险[6]。在根据非欧盟国法律提出转移或提供非个人数据请求的情况下，其极有可能面临与欧盟法律规定的此类数据保护义务相冲突，损害欧盟成员国在国家安全或社会基本利益方面的重大风险。譬如，美国通过2018年颁布的《澄清境外数据合法使用法案》(CLOUD)，对境外数据确立“长臂管辖权”，不仅使得欧盟在全球科技和产业竞争中陷于不利地位，同时也对欧盟成员国的数据安全甚至国家安全造成威胁[7]。而欧盟《数据法案》中关于非个人数据跨境流动监管制度的规定，正是对美国通过CLOUD法案实施数据霸权的一次有力反击。自此，在对非个人数据流动的监管问题上，欧盟不仅拥有了较为完备的促进内部数据共享的体系化机制，也搭建起了数据出境的安全保障机制。

2 欧盟“内外有别”监管模式的主要内容与特征

随着《数据治理法案》的出台与《数据法案》草案的公布，欧盟对非个人数据跨境流动的监管，显然已将触角延伸至欧盟之外。通过对法案主要内容的梳理可知，在监管效力及于欧盟域外的地域前提下，欧盟对非个人数据在欧盟境内、向欧盟境外流动的监管在理念、措施等方面的差别是尤为显著的。

2.1 主要内容

为促进数据尤其是非个人数据在欧盟内的共享与利用，《数据治理法案》主要通过了四项措施。第一，在数据再利用方面，该法案第二章尤其为非个人数据在欧盟内的再利用创设了诸多有利条件，并且弥补了《数据开放指令》缺陷，允许以保护第三方权利的方式重复使用商业秘密、知识产权等数据。第二，该法案鼓励开设数据中介服务，并明确了可成为数据中介服务商的相关条件与应履行的责任。作为数据流动过程的中立参与者，数据中介服务商将在数据持有者(或数据主体)和数据用户之间建立搭建桥梁，确保进行安全、透明的数据交换。第三，在“数据利他”的理念之下，该法案为数据利他组织的创建设立了相应的登记和监督制度，并规定了透明度义务以及维护数据主体和数据持有者权益的具体要求。第四，法案要求以专家组的形式成立欧洲数据创新委员会，以协助欧洲委员会出台提高数据互操性和共享性的措施。在《数据治理法案》搭建欧盟内部数据共享法律框架的同时，《数据法案》对其进行补充，进一步明确了可访问和使用数据的主体与条件，对消费者、企业以及公共部门之间进行数据(尤其是非个人数据)共享时的权利与义务作出细化规定，为多种数据处理服务商之间的数据流动与转换消除了障碍。

然而，相较于对非个人数据在欧盟内部流动的监管，两个法案对非个人数据向欧盟境外的跨境流动秉持了与数据共享截然相反的保守态度，所采取的措施均围绕保障数据安全与数据主权展开。一方面，《数据治理法案》通过第七章“国际转入与转让”的规定极大限制了非个人数据向非欧盟国家的跨境传输，并引入类似GDPR的“充分性保障”监管规则。与此一脉相承的是，《数据法案》在第七章也对国际背景下非个人数据的跨境流动监管问题进行专章规定，再一次强调了向非欧盟国家传输数据时的安全评估问题。另一方面，尤需注意的时，除第七章的专章规定之外，《数据治理法案》在第二章“重复使用公共部门机构持有的某些类别的受保护数据”中，对再用户将公开持有的非个人数据转移到第三国也设置了包括通知公共机构、经法人许可以及以合同形式承诺在内的三重审查条件。可以看出，相较于对欧盟境内数据自由流动的倡导，对于与非欧盟国家之间的数据跨境，欧盟坚持着高标准与严要求的严苛态度，其内外有别的态度十分鲜明。

2.2 显著特征

2.2.1日益扩张的监管地域范围

确定可监管的地域范围是一法域确定如何进行监管的重要前提。对于个人数据的跨境流动，早在2018年欧盟就已通过出台GDPR明确实现了对该类数据出境的“长臂管辖”式的监管。然而对于非个人数据的跨境流动，直至2022年欧盟才将其监管范围明确扩张至欧盟域外。

相较于监管个人数据跨境流动的GDPR第3条所采取的，区分“在欧盟境内设立”与“未在欧盟设立”机构的控制者或处理者对欧盟数据主体的个人数据进行处理的专门规定的做法[8]，对于非个人数据的跨境流动，根据《条例》第2(1)条的规定，该条例只适用两种情形，一为适用于在欧盟境内居住或向在欧盟有住所的用户提供服务的情况，而无论该服务提供者是否在欧盟境内成立；二为适用于在欧盟境内居住或有住所的自然人或法人为自身需要而实施的行为。结合《欧盟内非个人数据自由流动框架条例指南》对该标准的列举性解释可知，在设立地并不处于欧盟的情况下，若该服务提供商所进行的数据处理活动是通过“欧盟境内的服务器”进行的，所处理的数据是“欧盟客户”的数据，才可属于该条例的监管范围。可以看出，此时《条例》在监管地域范围上属地主义的意蕴仍较为浓厚，虽然《条例》规定的第一种情形弱化“设立地”标准，但两种情形仍以“居住地”位于欧盟这一重要属地要素为前提，同时《条例》也明确表明，该条例仅适用于欧盟内非个人数据的处理。

随着近两年欧美对数据主权的争夺愈演愈烈，欧盟愈发意识到对非个人数据的流动缺乏域外监管必然引发安全风险且不利于维护数据主权，因此2022年的《数据法案》在地域范围上进行了明显的扩张。根据《数据法案》第1条第2款对地域范围的规定，首先，该法案进一步弱化了“设立地标准”，完全未再提及是否要考虑设立地的相关因素。其次，该法案更加突出“目的标准”，其从数据流动过程中所涉及的多方主体角度，对“目的标准”进行了优化、细化与灵活处理。该法案不仅从数据服务、数据产品的提供商角度来判断，只要目标市场位于欧盟境内，欧盟即可对其进行监管；而且从数据接受者、消费者的角度来衡量，只要此类主体位于欧盟境内欧盟即可监管。换句话说，无论处理行为位于何处、无论提供商的设立地位于何处，欧盟均可实施监管。

可以看出，从《条例》到《数据法案》，强调属地性的“居住地”“设立地”标准呈现出愈发弱化的态势，“目的标准”愈发受青睐，并且当前欧盟对“目的标准”的判定更具多样性、选择性与灵活性。这产生的必然结果是，相关机构在确定是否可以对非个人数据的域外流动问题进行监管时，其可以发挥更大的自由裁量权来进行“长臂管辖”，从而逐渐实现对外输出欧盟价值观与欧盟标准的最终目的。鉴于数据的虚拟性与传输的即时性，扩大数据保护法的地域范围在维护数据安全方面虽具有一定合理性，也是当前各国对数据跨境流动进行监管的普遍选择[9]，但地域范围的向外延伸必然需要有所限制，以保证适当与合理性，否则必然会对他国司法主权造成威胁。

2.2.2“对内共享、对外限制”的监管措施

无论是此前的《条例》，还是《数据治理法案》与《数据法案》，对于非个人数据在欧盟内部的流转，欧盟的监管原则一贯以保证数据的自由流动为核心，其各项监管措施的标准也始终围绕为促进数据共享这一目标。例如《条例》明确禁止了欧盟内部数据本地化的要求，如《数据治理法案》第三章专章设置数据中介服务，以支持和促进数据主体之间的数据流动与共享，再如《数据法案》草案通过第五章专章规定了数据持有者向公共部门机构和欧盟机构、机关或团体提供数据的相应保障措施等。

然而，对于数据向欧盟境外的流动，欧盟监管措施的实施主要围绕着保证欧盟数据价值的国际竞争力以及维护欧洲数据单一市场发展的监管理念展开。其最常用的手段是在数据跨境前进行严苛的“前置审查”。在具体审查要求方面，《数据治理法案》与《数据法案》均设置了严格的审查标准。对于一般的数据跨境流动，上述法案均一致要求采用“一切合理的技术、法律与组织措施”来确保非个人数据跨境流动的安全性，其中尤为重要的是限制可进行跨境流动的国家范围，评估第三国数据保护的水平是否达到了欧盟要求，而评估标准也是极为多样的，包括考虑到有关国家关于访问、获取和保护非个人数据的一般法与部门法，例如公共安全、国防、国家安全、刑法和有关数据保护的法律；第三国公共部门机构对所传输数据的可访问性；第三国是否存在具备独立性和可有效运作的监管机构；第三国关于保护数据的国际承诺，或具有法律约束力的公约、文书以及参与多边或区域协商而产生的其他义务，以及可执行性和有效法律补救措施的可用性等[10]。同时，在欧盟委员会依据上述条件评估第三国数据保护水平的情况时，数据服务提供商、再用户等私主体依旧可以通过合同承诺的形式、技术上采取数字加密、技术标准认证等多种形式保证非个人数据的安全。此外，《数据治理法案》对获得数据重复使用权的自然人或法人的数据跨境流动作出了更严格的规定。其中，对于“机密数据与受知识产权保护”的数据跨境流动，要求重复使用者必须以合同形式作出承诺，以保证相关数据保护义务的履行。对于涉及保护公共健康、社会安全、环境保护、能源保护与利用、金融安全、公共道德、消费者保护等欧盟社会政策与公共利益的“高度敏感性”数据，《数据治理法案》也增设了严苛的限制条件，例如限制技术转让或技术安排、限制在第三国的重复使用、限制有权实施数据跨境流动的人员类别等，以避免对欧盟公共政策产生消极影响。

而对于一国司法机关或行政机构对欧盟数据的跨境调取，《数据治理法案》与《数据法案》的审查要求基本一致。首先，均以条约为首要条件。其次，在没有条约的情况下，数据的跨境调取必须满足多种实质审查条件，包括要求阐明决定或判决的理由与相称性(包括决定或判决的具体性质)、审查被调取方的合理反对意见、考虑欧盟或相关成员国的相关法律利益。与此同时，在满足上述条件的同时，欧盟主体可以提供的数据也必须是“最低数量”的数据,但对于何为“最低数量”,两个法案均未给出更为明确的解释，而是采用了带有一定自由裁量与主观性的判断标准，即根据他国请求的“合理”解释进行判断。

2.2.3组织机构设置的理念相异性

为实现对非个人数据跨境流动的良好监管，设置相应的组织机构是一法域需采取的必要手段。在“内外有别”的监管模式下，欧盟相关组织机构对内对外职能发挥的理念显然不同。

对内部非个人数据的跨境流动，欧盟相关机构所秉持的理念一贯是以促进数据共享为核心，以最大程度挖掘与利用数据资源为目标。在《数据治理法案》提出的“数据利他主义”概念之下，《数据治理法案》不仅要求成员国制定数据利他主义政策，还主张设置各类“数据利他组织”，通过对数据利他组织的注册登记、透明度要求等制度设计，来保证数据主体与数据持有人的数据权益，促进内部数据的共享与利用。同时，数据中介的创设可在数据持有者和数据用户之间建立中间关系、提供中介服务，从而提高数据交换的效率，确保欧盟内数据的交流与共享可以安全、透明地进行。

但对于非个人数据向欧盟境外的跨境流动，欧盟监管机构的核心目的并非在于促进数据共享，而是着重强调对数据安全的维护，限制数据向欧盟境外的跨境流动。实际上，无论是在个人数据保护领域还是非个人数据保护领域，欧盟委员会历来是欧盟在数据保护领域最活跃的机构，其作用不可小觑[11]。但是伴随着数据跨境流动的飞速发展，仅依靠欧盟委员会难以实现对数据跨境流动的全面监管，因此在GDPR中，欧盟通过设置“数据保护委员会”强化对个人数据跨境流动的监管；而《数据治理法案》中，欧盟通过增设“数据创新委员会”，协助欧盟委员会推进数据治理的相关工作，尤其是在向非欧盟国家传输数据的问题上，数据创新委员会的任务目的便不再是促进数据共享，而转变为保证数据安全。其需要协助委员会制定标准合同、评估他国的数据保护水平是否可达到与欧盟同等的保护水平，以及制定适用于向他国传输高度敏感的非个人数据时的特殊条件。

不难看出，在全球数字治理体系变革与各国争夺数据主权的国际背景下，欧盟对内部非个人数据流动的监管，无论是监管措施还是监管机构的设置，其核心目的都在于弱化数据本地化、保障数据共享与数据利他，从而维护数据单一市场。然而对于数据向欧盟域外的流动，欧盟的侧重点在于进行多种严格的审查与限制工作，对数据保护、数据主权与安全的重视远远超过了对数据自由流动的考量，以保证欧盟在全球数字市场可获得更多的竞争优势与话语权。

3 欧盟“内外有别”监管模式产生的影响

从《条例》仅规定欧盟内非个人数据流动的相关机制，到《数据治理法案》《数据法案》草案逐渐系统规定欧盟数据在境内外流动的相关监管问题，欧盟非个人数据跨境流动的监管规则不断向着体系化的方向发展。从其发展过程也可以看出，对于非个人数据跨境流动的监管，欧盟一向秉持着内松外紧的截然不同态度，这不仅对欧盟自身数字贸易的发展带来挑战，更对他国，甚至国际社会非个人数据的跨境流动产生深刻影响。

3.1 数据贸易壁垒的提高

数据的自由流动是数字贸易发展的前提。毋庸置疑的是，欧盟对内促进数据共享的监管思路无疑有助于欧盟内部数据市场的发展。但不能忽视的是，欧盟对外严苛的监管模式必然会对欧盟与欧盟域外之间的数据流转带来负面影响，而其域外管辖的对外扩张无形中又加剧了此种影响[12]。

从数据出境安全审查、数字经济发展和国家安全的关系来说，数据出境审查的宽严程度与数字经济发展的效率呈负相关关系[13]。《数据治理法案》与《数据法案》虽可有效弥补欧盟非个人数据跨境监管制度的空白，给欧盟非个人数据提供更有力的安全保障。但与此同时，当前的制度设计不仅必然加重有向欧盟境外传输数据需求的企业的负担，而且严格的数据跨境标准极有可能使欧盟更难吸引非欧盟跨国公司进入欧盟数据市场，即使进入欧盟市场其也需投入更多的合规成本。因此，当前严苛的标准存在扼杀欧洲吸引国际投资、发掘国际创新机会的可能[14]。与公权力机关相比，公司作为私主体，其权力与专业侧重均有所区别，因此要求绝大多数公司来评估与他们进行数据共享的非欧盟国家的法律和营商环境，在无形中显然已增加了过多的贸易负担，甚至已有观点认为这实际上是在变相要求诸多数据主体停止与非欧盟主体之间的跨境数据流动[15]。因此，若欧盟一味坚持过于严苛的审查标准，不断提高欧盟与非欧盟国家之间数据流动的壁垒，不仅不利于欧盟数据市场的全球拓展，全球数字贸易的发展也必然会遭受数据流转效率减缓的消极影响，数据价值的创造与发挥也必将大打折扣。

3.2 数据保护标准的“欧盟化”

在欧盟“内外有别”的监管模式之下，欧盟内部数字市场的形成速度必然呈加速趋势，欧盟国家的数据保护标准也难免会受到“趋同式”效应的影响。而对于欧盟域外国家来说，在欧盟对外扩张监管地域范围、对数据出境施行严苛审查方法，并在全球范围推广欧盟标准的现实情况下，非欧盟国家极有可能面临本国立法逐步向欧盟靠拢的被动局面。当前，国内外学者多用“布鲁塞尔效应”来描述欧盟对其他国家或地区带来的各方面影响[16]。自GDPR出台之后，“布鲁塞尔效应”在数据立法方面表现的尤为突出，全球个人数据保护的标准也逐渐向欧盟靠拢[17]。而近年来欧盟陆续公布在非个人数据跨境流动领域的多个法案，同样企图在非个人数据跨境流动方面继续延续“布鲁塞尔效应”。

欧盟当前将自己标榜为数据监管方面的“全球力量”,也采取了更具侵入性的监管措施来影响他国的数据保护标准[18]。根据当前的欧盟标准，第三国的数据保护水平必须达到欧盟的“同等条件”，此种要求在无形中变相压制他国数据保护的标准必须以欧盟为基本遵循[19]。作为全球数字市场的重要一环，欧盟也正在通过市场机制外化其法律法规，利用市场的连锁反应不断在全球渗透欧盟标准[20]。虽然在此影响下，各国的数据保护标准可能会存在不同程度的提高，但是不同国家显然具有不同的基本国情与发展水平，一国理应立足于本国现状制定符合本国发展道路的数据保护法律规则，而不应受制于他国或其他地区的变相要求。

此外，虽然扩大数据保护法的地域范围具有一定合理性，是当前各国数据立法的重要部分，可以反映互联网的无国界性质，可以起到保护本法域内数据主体权利的重要作用。但过于广泛的地域范围极有可能引起不同国家或地区之间的主权矛盾与法律冲突问题，一国所提出的域外主张越广泛，就必然增加侵犯其他国家主权的风险，从而更易引起国际摩擦[21]。从当前欧盟对非个人数据跨境流动进行监管的属地性逐渐减弱，愈发侧重于灵活的“目的标准”的变化可以看出，其通过扩张监管的地域范围，可以达到将欧盟法律直接适用于第三国的当事人或行为来对第三国的人员和活动施加影响的目的[22]，从而不断扩大欧盟标准的全球影响，甚至极有可能影响他国司法主权的正当行使。因此，域外监管的地域范围并非无边无际，而是需要设定相应的限制[23]，在保护本国数据安全与数据主权的同时，确保对他国的尊重。

4 中国数据跨境流动监管规则的完善

回望我国立法及司法实践，在数据信息保护与数据流动监管领域，当前我国已初步形成以《网络安全法》《数据安全法》和《个人信息保护法》为核心的法律框架[24]。目前全球性的跨境数据流动统一规则尚未形成，中国的数据跨境流动监管制度也尚处于不断发展与完善阶段，其中确定适恰的地域监管范围以及制定适当的出境审查方法是目前首先需要明确的重要问题。

4.1 确定适恰的地域监管范围

2021年《数据安全法》第2条第2款规定，在中华人民共和国境外开展数据处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。从该条款可以看出，当前我国已充分认识到在数据跨境流动问题上扩张监管地域范围的必要性。但在确定可监管的地域范围时，我国需要解决维护数据主权与数据自由流动之间的价值平衡问题。这就要求我国可监管的地域范围需具有相对明确的标准与合理限度。一方面，法院或相关数据管理机构需要结合“礼让”原则考虑将相关法律法规适用于域外的恰当性，保证在维护我国数据安全与数据主权的同时，尊重他国的主权与公共利益；另一方面，法律规则的域外效力必须以该法律规则具有可执行性为重要前提，因此在确定域外可监管范围时尤其需要考量之后面临的域外可执行性问题，避免产生事前虽可进行域外监管，事后不能域外执行的困境。

在此基础上，需要解决的有关地域监管范围的两个具体问题是何为数据出境以及在何种情况下可以对相关域外行为进行监管。首先，对于何为数据出境的问题，结合最新的《数据出境安全评估办法》(简称“《评估办法》”)第2条可知，主要包括数据处理者将在境内运营中收集和产生的数据传输、存储至境外，以及数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以访问或者调用。为保证维护我国数据安全目的的实现，一方面，当前需对数据处理者做恰当解释。当境外数据处理者委托境内主体收集、处理相关数据并传输至境外处理者时，受委托方也理应进行安全评估并接受监管。另一方面，需对位于本国境内却未在境内注册的主体，例如使领馆、外国常驻新闻机构等，提供、访问相关数据的行为, 是否属于数据出境予以明确。其次，确定在何种情况下可以对相关的域外行为进行监管更是尤为重要。从当前公布的《网络数据安全管理条例(征求意见稿)》第2条第2款来看，虽然当前的征求意见稿已意识到采用“目的标准”的重要性，但该标准的适用依旧存在局限性，只有“在我国境外处理我国境内个人和组织数据的活动”时，我国才有监管的可能。实际上，我国一方面可合理借鉴欧盟做法，弱化以“处理我国境内个人和组织数据的活动”为前提的“属人与属地标准”，并进一步结合市场导向推广“目的标准”；另一方面,鉴于避免对他国司法主权造成侵害的考量，我国可将对“礼让”的考量纳入兜底条款。

4.2 制定适当的出境审查标准

在数据出境的审查问题上，从当前的《评估办法》来看，我国拟通过事前评估和持续监督相结合、风险自评与安全评估相结合的方法加强对数据的保护。为制定适当的出境审查标准，当前仍需明确两个重要问题，其一为需进行审查的具体数据类型与级别，其二为具体审查标准的确定问题。

a.划定完备的监管类型。一方面，《评估办法》没有涉及“非重要且非个人数据”的数据出境问题。从欧盟当前的监管体系来看，其根据个人、非个人数据的划分，建立了全方位、体系化的监管体系，对于具有高度敏感性的数据是在此基础上进一步强化保障措施。但目前我国对于“非重要且非个人数据”的数据出境是否不受限制，或应以何种路径进行监管仍存在漏洞。“非重要且非个人数据”虽不关涉国家重要的数据安全与利益，但并非不产生数据价值，在监管层面，至少应确保以合同形式明确双方权利与义务，以保证数据权利与数据的顺畅流动。另一方面，当前《评估办法》仅对“重要数据”的概念进行了定义，尚未明确重要数据具体的类型与识别标准，也未明确“核心数据”是否应纳入范围。目前，我国在金融、汽车、电信领域，相关主管部门已陆续制定了相关数据安全分级指南，数据主体在判断“重要数据”时应结合定义，并根据具体行业标准、根据数据出境可能产生的后果进行综合衡量。

b.确定具体的安全评估事项。 一方面，当前的风险自评与官方评估在评估事项上存在较高重合性，这虽有利于为官方评估提供可供参考的资料，但也易对官方评估的准确性产生影响。这就要求监管机构在进行官方评估时，不应过度依赖自评估的结果，而应最大程度发挥能动性并保证专业性，始终以维护我国数据主权、安全为底线进行合理、客观的评估。另一方面，虽然《评估办法》要求他国数据安全保护政策法规和网络安全环境对出境数据安全的影响，以及境外接收方的数据保护水平达到我国“同等保护”标准，但介于各国法律文本、法律文化各不相同，因此在评估他国是否达到与我国同等的数据保护程度时，需要相关部门充分利用自由裁量权，结合该国司法实践进行合理评估，最大程度减弱过分僵化、刻板的判断标准对数据跨境流动与数字贸易发展产生的负面影响。这是我国在监管数据跨境流动时必须平衡与协调的重要问题。当然，我国也可适当参考欧盟所利用的相关具体评价标准，例如他国关于数据的一般法与部门法；他国是否存在具备独立性和可有效运作的监管机构；他国关于保护数据的国际承诺等因素进行具体判断。此外，《评估办法》扩大了安全评估范围的材料类型，将“合同”扩大到“法律文件”[25]。当前扩大解释的方法无疑可以解决一些未签订合同的数据出境场景的评估问题，但“法律文件”缺乏统一、明确的范围，因此后续相关机构可以发布具备一定明显特征的、多种类型的示范性“法律文件”范本，进一步帮助企业解决合规问题、提高评估效率。

5 结 论

围绕“数字单一市场”和“技术主权”两条主线，欧盟致力于打造分别适用于欧盟境内与欧盟境外的监管模式[26]。在“数字单一市场”的理念下，欧盟秉持数据共享的理念，致力于保障数据资源在欧盟内部的自由流动；而在“技术主权”的要求之下，欧盟对数据出境严加审查，强调根据欧盟的价值观构建数据跨境流动的监管规则，并企图对他国主权与法律政策施加影响[27]。这一“内外有别”的模式在非个人数据跨境流动的监管问题上体现的尤为明显。在此监管模式之下，数据在欧盟内部的流转速度必然加快，而与欧盟之外的交流互通必然减缓，从而增加了欧盟数据市场内部闭环发展的风险，也提高了跨境数字产业发展的合规成本，更增加了全球数字贸易发展的壁垒。

实际上，无论是欧盟还是我国，对个人数据以及非个人数据跨境流动的监管，均需围绕数据自由与数据安全的平衡问题展开，既需要在数据向域外流动时设定合理的、适当的地域范围，在维护本国数据主权的同时尊重他国司法主权；又需制定恰当的、明确的数据出境审查规则，在保证数据安全的同时不阻碍数据的跨境流动，从而保证数据价值的最大化实现。